– 212 –
A n l a g e 9 (zu Nr. 27.3)
26. Internationale Konferenz der Beauftragten für den Datenschutz und den Schutz der Privatsphäre
vom 14. bis 16. September 2004
Resolution zum Entwurf eines ISO-Rahmenstandards zum Datenschutz
Die Internationale Standardisierungsorganisation (ISO)
hat eine Arbeitsgruppe zu Datenschutztechnologien
(PTSG) im Rahmen des Gemeinsamen Technischen Ausschusses (JTC 1) eingerichtet, um die Notwendigkeit der
Entwicklung eines Standards für Datenschutztechnologien und gegebenenfalls das Verfahren zur Formulierung
und den Geltungsbereich eines solchen Standards zu prüfen und bis zum November 2004 zu berichten;
der Gemeinsame Technische Ausschuss (JTC 1) der ISO
leitet dem Unterausschuss 27 (Sicherheit der Informationstechnik) Vorschläge für einen Datenschutz-Rahmenstandard zur Entscheidung in einem beschleunigten Verfahren zu;
die Internationale Allianz für Sicherheit, Vertrauen und
Datenschutz (International Security, Trust and Privacy
Alliance – ISTPA –) ist eine weltweite Vereinigung von
Unternehmen, Institutionen und Technologie-Anbietern,
die zusammenarbeiten, um gegenwärtige und entstehende
Probleme in Bezug auf Sicherheit, Vertrauen und Datenschutz zu klären und zu lösen;
die ISO hat den Entwurf eines Internationalen Standards
(ISO/IEC (PAS) DIS 20886) für einen Datenschutzrahmen erhalten, den ISTPA1 in einem beschleunigten Verfahren eingebracht hat und über den durch schriftliche
Abstimmung bis zum 11. Dezember 2004 abgestimmt
werden soll;
das Projekt zum Test und zur Bewertung von Datenschutz
fördernden Technologien (Privacy Enhancing Technology Testing & Evaluation Project – PETTEP –)2 ist eine
weltweite Gruppe von Datenschutzbeauftragten, Wissenschaftlern, öffentlichen und nicht-öffentlichen Stellen und
Datenschutzexperten, denen es um die Entwicklung international anerkannter Test- und Evaluationskriterien für
die Datenschutzkonformität von Informationstechnologien und -systemen geht;
unterstützen und der ISO ihren Sachverstand für die Entwicklung eines solchen Standards zur Verfügung stellen;
die Konferenz erkennt an, dass die Befolgung jedes gegenwärtigen oder zukünftigen ISO-Standards nicht notwendigerweise die Befolgung von rechtlichen Bestimmungen impliziert oder ersetzt. Die Konferenz sieht aber
in der Entwicklung solcher Standards der Informationstechnologie ein Mittel, um die Beteiligten bei der
Befolgung rechtlicher Regelungen zum Datenschutz zu
unterstützen. Die Konferenz erkennt an, dass trotz der
Tatsache, dass jedes Mitgliedsland gegenwärtig und in
Zukunft eigene, in bestimmter Hinsicht von anderen verschiedene Datenschutzgesetze hat, insgesamt ein hohes
Maß an Übereinstimmung zwischen diesen rechtlichen
Anforderungen besteht, denen am Besten zu entsprechen
wäre, wenn sie durch die Entwicklung eines Internationalen Standards zur datenschutzrechtlichen Informationstechnik unterstützt würden.
Die Konferenz nimmt die folgenden Resolutionen an:
1. Die Konferenz empfiehlt, dass ein weltweiter Datenschutzstandard und insbesondere ein Standard für
Datenschutztechnologien von der ISO formuliert
wird, der die Umsetzung bestehender rechtlicher Bestimmungen zum Datenschutz und die Formulierung
solcher Bestimmungen – wo sie noch fehlen – unterstützt.
2. Die Konferenz ist der Auffassung, dass die Entwicklung eines Internationalen Datenschutzstandards sowohl auf gerechte Informationspraktiken als auch auf
die Begriffe der Datensparsamkeit, Datenminimierung und Anonymität gestützt sein muss. Um effektiv
zu sein, muss ein Standard für Informationstechnologie:
●
die Internationale Arbeitsgruppe zum Datenschutz in der
Telekommunikation hat bei ihrer 35. Sitzung in Buenos
Aires am 14./15. April 2004 ein Arbeitspapier zu einem
zukünftigen ISO-Datenschutzstandard angenommen3;
die Internationale Konferenz der Datenschutzbeauftragten (im Folgenden die „Konferenz“) möchte die Entwicklung eines effektiven und universell akzeptierten
Internationalen Standards über Datenschutztechnologien
●
●
1
2
3
vgl. http://www.istpa.org
PETTEP ist ein Projekt, das von der Informations- und Datenschutzbeauftragten von Ontario geleitet wird und das Test- und Bewertungskriterien für datenschutzfreundliche Informationstechnik untersucht.
http://datenschutz-berlin.de/doc/int/iwgdpt/index.htm
BfD
20. Tätigkeitsbericht
2003–2004
Evaluierungs- und Testkriterien bereitstellen, die
es erlauben, die Datenschutzfunktionalität jedes
Systems oder jeder Technologie zu bewerten, um
auf diese Weise die Daten verarbeitenden Stellen
bei der Befolgung nationaler und internationaler
Vorschriften zum Datenschutz zu unterstützen;
einen Grad an Vertrauenswürdigkeit hinsichtlich
der Technologien und Systeme zur Verarbeitung
personenbezogener Daten gewährleisten, die den
Anspruch erheben, datenschutzgerecht zu sein;
in der Lage sein, Datenschutzerfordernisse bezüglich personenbezogener Daten zu erfüllen, unabhängig von der Kombination und Zahl von
Organisationen, die an der Verwendung und am
Austausch dieser personenbezogenen Daten beteiligt sein mögen.